X

Actueel

15aug

Een datalek zit in een klein hoekje

Ik merk dat veel mensen wat zenuwachtig reageren op wet- en regelgeving zoals de Wet Meldplicht Datalekken en de Algemene verordening gegevensbescherming (AVG/GDPR). De mogelijke effecten van het lekken van gevoelige gegevens kunnen inderdaad tegenwoordig flink vergroot worden door sancties van de overheid. Technisch gezien is er echter weinig veranderd. Je moet nog steeds je zaakjes op orde hebben. Het is niet zo dat er nu opeens andere soorten lekken mogelijk zijn. Het gaat nog steeds om de zelfde problemen met informatiebeveiliging als voorheen, alleen is er nu wetgeving over gevallen waarin die problemen leiden tot datalekken.

Welke kwetsbaarheden kunnen dan leiden tot een datalek? Alle kwetsbaarheden.

Bij een datalek gaat het om toegang tot of vernietiging, verlies, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens, en verlies van (toegang tot) persoonsgegevens.

Dat is vrij ruim. Als ik een kwetsbaarheid vind in een systeem waarin persoonsgegevens worden verwerkt, dan kan je er van uit gaan dat misbruik van die kwetsbaarheid leidt tot een datalek.

Een voorbeeld: het blijkt dat een inlogpoging in een webapplicatie 42 milliseconden duurt met gebruik van een ongeldige gebruikersnaam en een ongeldig wachtwoord. Een inlogpoging met een ongeldig wachtwoord maar met een geldige gebruikersnaam kost echter steeds 128 milliseconden.

Door gebruik te maken van deze kennis kan ik brute force wachtwoordaanvallen versimpelen door eerst te zoeken naar geldige gebruikersnamen en daarna pas te zoeken naar geldige wachtwoorden. Dat is zo'n significante optimalisatie van mijn aanval dat het ineens een reële mogelijkheid wordt om op die manier toegang te krijgen tot een gebruikersaccount. Wanneer ik dan van de betreffende gebruiker persoonsgegevens kan inzien, is er al sprake van een lek. De ernstigheid ervan, en daarmee de bijbehorende sanctie, hangt af van de hoeveelheid en aard van gelekte gegevens. Het blijkt echter: "een datalek zit in een klein hoekje".

Related

Vest - Gold Sponsor ISSA

Vest - Gold Sponsor ISSA

Onlangs heeft Vest het golden sponsorschap bij het Nederlandse chapter van ISSA.org weer verlengd. G...

Read More >
Eat, sleep, learn.... repeat

Eat, sleep, learn.... repeat

De “nieuwe” wet Algemene Verordening Gegevensbescherming bestaat al enige tijd en voor veel organi...

Read More >
OWASP top 10

OWASP top 10

Soms krijgen we de vraag om een OWASP top 10 test te doen. Maar die test bestaat niet...

Read More >
Vest in tv-programma RTL Z How It's Done: Bekijk hier het fragment

Vest in tv-programma RTL Z How It's Done: Bekijk hier het fragment

Bekijk het How It's Done-fragment waarin Vest-oprichter en directeur Marc Hullegie aan het woord...

Read More >
De CMDB voor persoonsgegevens

De CMDB voor persoonsgegevens

Eerder hebben we op onze website aandacht besteed aan het nut en de noodzaak van een CMDB. In het li...

Read More >
IT & Information Security Congres 2019

IT & Information Security Congres 2019

Op woensdag 13 februari staat Vest weer als business partner op het IT & Information Security Congre...

Read More >

Op de hoogte blijven van ons laatste nieuws?

Regelmatig delen onze Business Area Managers nieuws vanuit hun domein van expertise. Wilt u op de hoogte gehouden worden van deze nieuwsitems? Schrijf u dan nu in voor onze nieuwsbrief.